Web和移动安全之​​​​应用程序商店

应用程序商店

应用程序商店是集中的数字分发平台，可组织许多Web和移动生态系统中的软件管理和分发。著名的例子是Chrome浏览器扩展的Chrome网上商店，Apple的iOS应用程序AppStore和Android应用程序的Google Play。用户可以浏览、下载、评价和查看移动应用程序或浏览器插件和扩展程序。开发人员可以将他们的软件上传到应用程序商店，这些商店管理所有软件分发挑战，包括提供存储、带宽以及部分广告和销售。在发布之前，大多数应用程序商店部署应用程序批准流程，以测试可靠性，遵守商店策略和安全审查[32，33]。

拥有应用程序商店的生态系统中可用的大多数软件都是通过商店分发的。只有少数用户旁加载软件（即从商店以外的其他来源安装软件）。应用程序商店允许提供商控制其商店中可用的应用程序，从而允许他们禁止特定的应用程序。虽然这可能会引起对审查制度的指责，但安全审查技术的部署有助于显着减少商店中可用的恶意软件数量[32]，并减少由于开发人员滥用安全API而遭受漏洞的应用程序数量[34]。].部署的安全审查技术包括应用于应用程序二进制文件的静态和动态分析以及正在运行的应用程序实例。除了安全审查技术之外，应用程序商店还要求应用程序由开发人员或应用程序存储密钥签名。在Android中，应用程序签名不依赖于网络上使用的相同公钥基础结构。相反，鼓励开发人员使用自签名证书，并要求使用相同的密钥对应用程序更新进行签名，以防止恶意更新[35]。iOS设备上的应用程序签名过程要求Apple对应用程序进行签名。无法在iOS设备上安装未签名的应用程序。应用程序商店不仅允许开发人员和用户集中访问软件发布、分发和下载，还使用户能够对已发布的应用程序进行评级和审查。用户评分和评论旨在帮助其他用户做出更明智的下载决策，但它们也与应用程序安全性直接相关